Azure AD Connect ADFS Health Agent のインストールに関する問題

tag-icon tag-icon windows-server-2016 adfs entra-id
Azure AD Connect ADFS Health Agent のインストールに関する問題

Windows Server 2016 で実行されている ADFS 4.0 ファームのプライマリ サーバーに Azure AD Connect ADFS 正常性エージェントをインストールしようとしています。

インストールは正常に完了しましたが、構成時にエラーが発生します。

Register-AzureADConnectHealthADFSAgent : Could not query the MEX on http ports: 443 in hosts: localhost
At line:1 char:190
+ ... gent\PowerShell\AdHealthAdfs; Register-AzureADConnectHealthADFSAgent}
+                                   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Register-AzureADConnectHealthADFSAgent], InvalidOperationException
    + FullyQualifiedErrorId : System.InvalidOperationException,Microsoft.Identity.Health.Adfs.PowerShell.Configuration
   Module.RegisterADHealthAdfsAgent

今、私はそのエラーをグーグルで調べましたが、これはSTS証明書の発行だから私は確認した記事そこに指摘されたとおり、問題はなく、予期しない、または間違った証明書の拇印は表示されません。また、ADFS 4.0 では、ADFS ファーム内のセカンダリ サーバーの証明書を変更することはできないため、単に証明書を再登録しようとしても役に立ちませんでした。

maweeras の提案に従ってさらに診断を実行します。

PS C:\Users\administrator.INTERNAL> $error[0] | fl * -f


PSMessageDetails      :
Exception             : System.InvalidOperationException: Could not query the MEX on http ports: 443 in hosts:
                        localhost
                           at Microsoft.Identity.Health.Adfs.PowerShell.ConfigurationModule.AdfsServiceExaminer.GetAdfs
                        FarmNameFromSts()
                           at Microsoft.Identity.Health.Adfs.PowerShell.ConfigurationModule.AdfsServiceExaminer.Compute
                        ServiceSignature()
                           at Microsoft.Identity.Health.Common.Clients.PowerShell.ConfigurationModule.RegisterADHealthA
                        gent.ProcessRecord()
                           at System.Management.Automation.CommandProcessor.ProcessRecord()
TargetObject          :
CategoryInfo          : NotSpecified: (:) [Register-AzureADConnectHealthADFSAgent], InvalidOperationException
FullyQualifiedErrorId : System.InvalidOperationException,Microsoft.Identity.Health.Adfs.PowerShell.ConfigurationModule.
                        RegisterADHealthAdfsAgent
ErrorDetails          :
InvocationInfo        : System.Management.Automation.InvocationInfo
ScriptStackTrace      : at <ScriptBlock>, <No file>: line 1
PipelineIterationInfo : {}

インストール/構成ログには、すでにここに記載されていない情報は何も記載されていないようです。Web ブラウザーで FQDN を介して MEX エンドポイントを参照できます。

答え1

TLS のローカルホスト固有の SNI バインディングが欠落しているようです。get-adfssslcertificate は、実際のサービスに使用されるホスト名とローカルホストの両方に対して 443 バインディングを明らかにする必要があります。

不足している場合は、set-adfssslcertificate を使用して不足しているバインディングを修正します。これにより、ヘルス エージェントのインストールが成功します。

関連情報